security - 是否存在防止 cookie 被盗的方法？

Question

在 Web 2.0 应用程序中，许多用户通常希望保持登录状态(“记住我”标志)，另一方面，他们的 cookie 可以访问非常私密的数据。有没有办法防止直接从计算机或通过嗅探窃取 cookie 的人使用 cookie 访问用户数据？始终 HTTPS 不是一个选项。

谢谢，伯恩德

[编辑] 将 IP 地址连接到 cookie 也不是一个选项。

Answer 1

KISS - 只需使用 session ，以便您使用已由您选择的服务器端脚本语言自动创建的 ID。这已经够难猜了。然后，如果它被盗，将访问者的 IP 地址和用户代理存储在 session 中(确保永远不会输出)，并且只认为 session 有效 仅当 已存储的 IP 地址和用户代理与为远程客户端找到的匹配。

在这种情况下，攻击者必须做以下三件事:

窃取受害者的 cookie

欺骗正确的IP地址

欺骗正确的用户代理

它还有助于确保攻击者不知道他/她为了正确接管受害者的 session 而必须做的所有事情。 IE:他们可能假设只需要 cookie，然后失败了......并且必须通过非常长时间的反复试验来弄清楚其他所有事情。通过这种方式，您可以通过默默无闻和困难获得安全性，具体取决于攻击者的技能和他/她对系统的现有知识。